กลุ่มแฮกเกอร์ ShinyHunters เรียกค่าไถ่ ขู่แฉข้อมูลรั่ว จาก Salesforce 1 พันล้านรายการ ของ 39 องค์กรระดับโลก
กลุ่มแฮกเกอร์ ShinyHunters เปิดเว็บไซต์เผยแพร่ข้อมูลที่อ้างว่าขโมยมาจากการโจมตีระบบของลูกค้า Salesforce พร้อมประกาศเรียกค่าไถ่ โดยขู่ว่าจะเปิดเผยข้อมูลทั้งหมดหากไม่ได้รับการตอบสนองภายในเส้นตาย 10 ตุลาคมนี้ เหตุการณ์ครั้งนี้ถือเป็นหนึ่งในคดีโจมตีทางไซเบอร์ที่ใหญ่ที่สุดแห่งปี เพราะมีข้อมูลรั่วไหลรวมเกือบ 1 พันล้านเรคคอร์ด
รายชื่อองค์กรที่ตกเป็นเหยื่อปรากฏอยู่ในเว็บไซต์ของกลุ่มโจมตี ครอบคลุมกว่า 39 บริษัทข้ามชาติชื่อดัง ตั้งแต่ FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Air France-KLM, TransUnion, HBO Max, UPS, Chanel, IKEA และอีกมากมาย กลุ่มยังอ้างว่ามีการติดต่อองค์กรเหล่านี้ไปก่อนหน้าแล้ว พร้อมอัปโหลดข้อมูลตัวอย่างเพื่อยืนยันการเข้าถึงจริง ซึ่งหลายองค์กรได้ดาวน์โหลดไปตรวจสอบแล้ว
เทคนิคการโจมตี
กลวิธีที่ใช้โจมตีครั้งนี้ไม่ได้อาศัยช่องโหว่ในระบบ Salesforce โดยตรง แต่เป็นการ โจมตีผ่านการหลอกลวงพนักงาน โดยใช้เทคนิค Social Engineering ให้ติดตั้ง OAuth แอปอันตรายเข้าไปในระบบ Salesforce ขององค์กร เมื่อได้รับสิทธิ์ แอปดังกล่าวสามารถเข้าถึงฐานข้อมูลลูกค้า ข้อมูลล็อกอิน รหัสผ่าน กุญแจ AWS รวมถึงโทเคน Snowflake และข้อมูลจากเครื่องมือภายนอกที่เชื่อมกับ Salesforce อย่าง Salesloft และ Drift ทำให้ขอบเขตความเสียหายกว้างขวางเกินกว่าที่หลายฝ่ายคาดคิด นักวิจัยด้านความปลอดภัยจากบริษัท Mandiant ได้ติดตามภัยคุกคามนี้ภายใต้ชื่อรหัส UNC6395 แม้ยังไม่สามารถยืนยันตัวตนผู้โจมตีได้ชัดเจน แต่มีความเป็นไปได้สูงว่าเกี่ยวข้องกับกลุ่ม ShinyHunters
ShinyHunters ยังประกาศข้อเรียกร้องให้ Salesforce เองต้องจ่ายค่าไถ่ หากต้องการให้กลุ่มยุติการเผยแพร่ข้อมูลลูกค้า พร้อมระบุด้วยว่า หาก Salesforce ยอมเจรจา พวกเขาจะถอนข้อเรียกร้องจากองค์กรต่าง ๆ และไม่กลับมาโจมตีอีก นอกจากนี้ กลุ่มยังอ้างว่ากำลังยื่นเรื่องฟ้องร้อง Salesforce ในข้อหาละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลยุโรป (GDPR) ด้วยเหตุผลว่าไม่สามารถปกป้องข้อมูลของลูกค้าได้เพียงพอ
ด้าน Salesforce ได้ออกแถลงการณ์ปฏิเสธว่าแพลตฟอร์มหลักของตนไม่ได้ถูกโจมตีโดยตรง และจนถึงขณะนี้ยังไม่พบหลักฐานว่ามีช่องโหว่ในซอฟต์แวร์ที่ถูกใช้เจาะระบบ บริษัทชี้ว่าเหตุการณ์เกิดจากการถูกหลอกใช้ OAuth integration ที่กำหนดค่าผิดหรือถูกใช้ในทางที่ไม่ถูกต้องมากกว่า พร้อมยืนยันว่ากำลังทำงานร่วมกับลูกค้าที่ได้รับผลกระทบ รวมถึงผู้เชี่ยวชาญด้านความปลอดภัยและหน่วยงานบังคับใช้กฎหมายเพื่อจัดการปัญหา